PHP＜=7.4.21 Development Server源码泄露漏洞

7月前作者：这周末在做梦分类：Toy博客阅读(29) 违法举报

这篇具有很好参考价值的文章主要介绍了PHP＜=7.4.21 Development Server源码泄露漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

因为特殊的原因CTF荒废了一段时间，近期总算再次捡了起来，算是从头开始了吧。近期比赛刚好遇到了这个漏洞，看国内似乎还没有过多的论述，先总结一波。

php启动内置web服务器

PHP从5.4开始，就提供了一个内置的web服务器，主要是用来做本地的开发用的。
前提：php已经加入到本地电脑的环境变量中
cd 项目目录
php -S localhost:8080
参考链接: php如何启动内置web服务器

漏洞利用

PHP<=7.4.21时通过php -S开起的WEB服务器存在源码泄露漏洞，可以将PHP文件作为静态文件直接输出源码
参考链接: PHP<=7.4.21 Development Server源码泄露漏洞
复现方法如下，记得要关掉Burp自动修改Content-Length的功能
PHP＜=7.4.21 Development Server源码泄露漏洞,原理实验,php,服务器,开发语言
备注："\r\n"就是bp中的换行，即留一行空着。

原理

参考链接: PHP Development Server <= 7.4.21 - Remote Source Disclosure 文章来源地址https://www.toymoban.com/news/detail-696069.html

到了这里，关于PHP＜=7.4.21 Development Server源码泄露漏洞的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)【原理扫描】

SSL/TLS协议 RC4信息泄露漏洞被扫描出来，一般出现的问题在ssh和https服务上使用了DES、3DES算法，禁用这些算法就好了 1.使用nmap扫描出来： nmap -sV --script ssl-enum-ciphers -p 443 ip 2.使用绿盟扫描显示CVE-2016-2183漏洞 apache： 1.禁止apache服务器使用RC4加密算法 2.重启apache服务 Nginx: 1.禁止

2024年02月09日
浏览(56)
挖洞思路：前端源码泄露漏洞并用source map文件还原

webpack是一个JavaScript应用程序的静态资源打包器（module bundler）。它会递归构建一个依赖关系图（dependency graph）,其中包含应用程序需要的每个模块，然后将所有这些模块打包成一个或多个bundle。大部分Vue应用会使用webpack进行打包，如果没有正确配置，就会导致Vue源码泄露，可

2024年01月16日
浏览(31)
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】修复方案

SSL/TLS协议 RC4信息泄露漏洞被扫描出来，一般出现的问题在ssh和https服务上使用了RC4算法，修改配置文件就可以了 1.使用nmap扫描出来： nmap -sV --script ssl-enum-ciphers -p 443 ip 2.使用绿盟扫描扫描出来显示CVE-2013-2566 apache： 1.禁止apache服务器使用RC4加密算法 2.重启apache服务 Nginx: 1.禁

2024年02月16日
浏览(31)
21级计科专业计算机组成原理实验考试（体验）

在使用VC++6.0软件时，为了进入调试模式，需要先点击【Build】，再点击（） A. BuildExecute B. Go C. Execute D. Compile 在使用VC++6.0软件进入调试模式后，点击【View】→【Debug Windows】后的（）选项，可以打开下面的窗口。 A. Memory B. Variables C. Registers D. Disassembly 注意：每个选项的作用

2024年02月05日
浏览(30)
PHP反序列化漏洞原理

1、原理: 序列化与反序列化是保证数据一致性的过程。 2、产生: 序列化与反序列化的过程中，用户可控如果反序列化的参数受到攻击者的控制，就会产生漏洞。攻击者可以通过修改参数个数等方式来控制反序列化过程，从而导致代码执行、SQL注入、目录遍历等不可控后果。

2024年01月16日
浏览(54)
PHP文件上传漏洞原理以及防御姿势

0x00 漏洞描述在实际开发过程中文件上传的功能时十分常见的，比如博客系统用户需要文件上传功能来上传自己的头像，写博客时需要上传图片来丰富自己的文章，购物系统在识图搜索时也需要上传图片等，文件上传功能固然重要，但是如果在实现相应功能时没有注意安全

2024年02月02日
浏览(40)
【网络安全篇】php伪协议-漏洞及其原理

🏆今日学习目标： 🍀学习php伪协议 ✅创作者：贤鱼 ⏰预计时间：35分钟 🎉个人主页：贤鱼的个人主页 🔥专栏系列：网络安全 🍁贤鱼的个人社区，欢迎你的加入贤鱼摆烂团 🍁如果有需要可以查看下面文章 25分钟了解php？php基础举个例子 include(文件名) ; 作用是如果文件

2024年02月03日
浏览(39)
PHP intval()函数详解，intval()函数漏洞原理及绕过思路

「作者主页」：士别三日wyx 「作者简介」： CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 intval() 函数可以获取变量的「整数值」。常用于强制类型转换。语法参数

2024年02月09日
浏览(29)
[网络安全] Windows Server 设置文件屏蔽防止黑客利用漏洞上传特定类型的非法文件(.asp .aspx .jsp .php)

[网络安全] Windows Server 设置文件屏蔽防止黑客利用文件上传漏洞上传特定类型的非法文件(.asp .aspx .jsp .php) 我在负责网站运维期间，遇到过一次黑客利用公司网站内使用的开源文件上传工具漏洞上传非法文件（可执行脚本）我是通过设置文件屏蔽来防止此类事件的再次发生。

2024年02月12日
浏览(40)
PHP md5()函数详解，PHP计算MD5，md5()绕过，md5()漏洞原理剖析

「作者主页」：士别三日wyx 「作者简介」： CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 md5() 可以计算字符串的「MD5散列值」。语法参数 $str ：需要计算的字符串

2024年02月06日
浏览(33)